Az UEFI (Unified Extensible Firmware Interface) biztonsági réseiről adott átfogó helyzetjelentést a május végén Amszterdamban rendezett Hack in the Box 2014 konferencián Corey Kallenberg, a MITRE nevű nonprofit szervezet holland kutatója. Az előadásról a Biztonságportál készített összefoglalót.

A BIOS leváltására készült UEFI (Unified Extensible Firmware Interface) egyik sokat taglalt eleme a Secure Boot funkció, amelynek egyik feladata, hogy megakadályozza az úgynevezett bootkitek térhódítását. A bootkitek a számítógépek indulását tudják manipulálni, hogy még az operációs rendszer betöltődése előtt bejuttassák a nemkívánatos kódokat a memóriába. Az egyik leghíresebb bootkit a 2011-ben felfedezett TDL 4, amely több mint 4,5 millió számítógép Master Boot Recordját (MBR) fertőzte meg.

Tontos tehát, hogy jól működjön a Secure Boot nyújtotta védelem, hiszen – a McAfee egy felmérése szerint – a bootkitek által okozott fertőzések száma 2013-ban rekordot döntött. Persze a Secure Boot ellenzői kezében is vannak érvek, például az, hogy egyes operációs rendszerek megnehezíthető, sőt lehetetlenné teheti.

Automatizálhatók a támadások

Tavaly a MITRE az Intelel fogott össze az UEFI implementációk vizsgálatára. Ennek egyik fontos megállapítása volt, hogy miközben UEFI egyik célkitűzése az volt, hogy standardizálja az egykori BIOS-t, az implementációk rendkívül "sokszínűek": sokszor még egy gyártónál is többféle megvalósítást találtak, ami negatívan befolyásolja a biztonságot.

Az American Megatrends megoldásaiban olyan – azóta befoltozott – biztonsági rést is találtak, ami lehetőséget ad a Setup paraméterrel történő visszaélésekre. A biztonsági rés révén a szakemberek operációs rendszer szinten át tudták billenteni a Setup értékét 0-ra, aminek következtében az adott számítógép nem volt képes betölteni a Windowst. Ráadásul az ilyen támadás automatizálható, tehát egy jó célprogrammal akár teljes céges rendszerek is megbéníthatók. És hogy ez milyen kockázattal jár, azt jól mutatja az a támadás, ami 2012 augusztusában a Saudi Aramco 30 ezer munkaállomását tette használhatatlanná, igaz, ott nem a Secure Boot sebezhetőségét használták ki a támadók (a támadásról itt írtunk).

Kallenberg szerint azonban az American Megatrendsnél felfedezett probléma csak a jéghegy csúcsa.  A konferencián bemutatott egy olyan újabb támadási módszert, amely több gyártót érint. A MITRE megvizsgált mintegy nyolcezer rendszert, és kiderült, hogy 40 százalékukban az OEM-gyártók nem használják az úgynevezett SMI_LOCK védelmet. Ez azt eredményezi, hogy az előre jóváhagyott bootloaderek listájához újabb tételek adhatók hozzá, miáltal indításkor a Secure Boot olyan kódban is meg fog bízni, amit normális esetben blokkolna. A támadás Windowsból is kivitelezhető: mindössze azt kell elérni, hogy a kártékony kódot adminisztrátori jogosultsággal lehessen futtatni.

A firmware frissítése sem mindig segít

Kallenberg szerint ezek ellen rések ellen nehéz védekezni. Hiába javítja ugyanis gyártók a firmware-t, és azt hiába telepíti a felhasználó vagy az üzemeltető, ha az esetek 50 százalékában visszatölthető egy régebbi firmware, hogy ismét támadható legyen a rendszer.

Kallenberg ráadásul újabb sérülékenységek lehetőségét is belengette: mint mondta, dolgoznak egy egy chipkészletfüggő biztonsági rés feltárásán, ami szintén a Secure Boot "fehérlistájának" manipulálását segítheti elő.

Az UEFI a jövőben is kedvelt célpontja maradhat a kiberbűnözőknek, már csak azért is, mert jóval egyszerűbb vizsgálni, mint régen a BIOS-t – összegezte mondanivalóját Kallenberg. A múltban a BIOS biztonsági réseinek feltárásához speciális és nagyon drága, több tízezer dolláros debugger eszközöket kellett használni. Az UEFI nyitottsága azonban több kutatásra ad lehetőséget, ami mind több problémát, sérülékenységet hoz majd a felszínre.

Corey Kallenberg előadásáról a beszámolót a Biztonságportál oldalán olvashatják.